個人資訊保護法如何顛覆資料服務模式
研究清楚這個問題,首先要弄清楚個人資訊的概念核心與產生原理。
按照個人資訊保護法的定義,個人資訊是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種資訊。這裡包含兩層含義,首先,個人資訊是識別自然人的各種資訊,是每個自然人獨有的,或是透過自我行為生產出來的;其次,必須記錄下來。只有滿足這兩條才能稱作個人資訊。
舉兩個例子加深理解。古代智慧人最早的記錄方式可能是石巖上的壁畫,記錄了部落狩獵、祭祀等一系列重大事件。壁畫算作個人資訊嗎?應該不算,因為並未識別或特定指向某一個自然人。文字出現後,表達的資訊量和精準度更加充分,對於某一自然人的區別記錄普遍起來,比如帝王本紀和諸侯列傳,屬於個人資訊的早期形態。
進入到數字社會後,個人資訊大爆發。各類現代化裝置對於每一自然人識別刻畫的維度和精度大幅提高,但由於裝置是B端企業或機構擁有或運維,記錄動作由B端完成,因此造成了個人資訊所有權和使用權的分離。使用權濫用造成了資料服務的混亂無序,個人資訊保護法、資料安全法應運而生,主要目的是對擁有使用權的B端企業或機構的相關義務和責任進行規範。
資料運營主體和處理者應履行諸多責任
個人資訊的處理包括個人資訊的收集、儲存、使用、加工、傳輸、提供、公開、刪除等。每個環節運營主體或處理者均有相應的責任與義務,例如資料採集時要履行“最小收集”與“告知知曉”原則;處理前,應告知處理者的名稱、聯絡方式、處理目的、方式、範圍等;向其他個人資訊處理者提供其處理的個人資訊的,應當向個人告知接收方的名稱、聯絡方式、處理、目的、處理方式和種類,並取得個人的單獨同意。具備資料“刪除”和“攜帶轉移”功能;傳輸時要遵循“可用不可見”原則;儲存時要進行“分類管理”,採取“加密”和“去標識化”等措施;平日要制定內部管理制度和操作規程,應定期對執行情況進行合規審計等。
這些資料傳輸方式有問題麼?
對照個人資訊保護法,下面常用的處理方式合法嗎?我們一一來看。
場景一:大資料市場有很多資料來源頭廠商,有的是提供基礎通訊元件或服務,有的是to C的行業壟斷廠商,彙總了大量個人資訊。它們對外提供個人資訊的標籤化查詢輸出服務,或與其他公司以聯合建模方式輸出對個人的精準風控或服務決策支援。
分析與結論:判斷該場景是否合法,首先要看源頭資料廠商是否履行了充分告知義務,不僅告知自己的處理方式、目的、資料種類,還要明確告知涉及的其他合作單位的名稱、處理方式、目的與資料種類,沒有明確告知的,則違法。
特別是對於存量客戶,在當時服務時與客戶簽訂的線上或線下告知協議,是否包含了上述內容?處理者不能以新上線的告知協議,替代對存量客戶的處理義務。換句話說,在調整告知義務相關內容後,處理者只能處理已經重新簽約的個人資訊,對於沒有重新簽約的存量客戶,不能超範圍處理資料。
場景二:資料需求方獲得了個人授權,從源頭廠商查詢個人資訊時,透過MD5或SHA256等方式進行加密傳輸,源頭廠商並未反饋個人客觀資訊,而是反饋“是”與“否”,或者標籤化結果。
分析與結論:按照個人資訊保護法規定,對個人資訊的加密和去標識化處理資料的基礎工作,但並不是無所畏忌操作的保護傘,即便取得了客戶授權。個人保護法對於去標識化的定義是:個人資訊經過處理,使其在不借助額外資訊的情況下無法識別特定自然人的過程。對於資料查詢廠商,其透過簡單加密方式能夠確保源頭廠商無法識別特定自然人麼?並不能。這些加密方式都是可逆的,且加密資料到達源頭廠商後,均透過私鑰轉化為明文查詢,加密方式只是稍微提升了傳輸過程的安全性,僅此而已。
因此,真正合法的查詢應該是“雙盲"性質的,資料查詢方和源頭廠商均無法知曉特定的被查詢個人。
場景三:集團進行資料整合,將不同子公司資料進行明文彙集。
分析與結論:首先,與場景一類似,整合前,應明確告知合併與共享單位、用途、型別及或有影響,並取得客戶授權;其次,應加密或去標籤化儲存與傳輸。完全明文狀態下的資料共享與綜合應用是不符合規定的。
由於個人資訊保護法並沒有規定同一集團下不同子公司之間資料傳輸與合作的特殊性,因此,跨法人主體的資料傳輸與共享應遵循統一標準和要求。
與此類似場景還有兩家持牌機構間的聯合貸款業務,涉及使用者資訊共享以及外採資料的聯合建模。區別之處在於:聯合貸款的必要性及相關告知均已取得了客戶的授權,且屬於“為訂立、履行個人作為一方當事人的合同所必需”的情況,因此,聯合貸款兩方持牌機構可以就客戶資訊進行共享,但同樣需遵守“最小收集”、加密等資訊管理基礎要求。
何為個人資訊和匿名化處理
研究個人資訊概念時,有一個特別發現:個人資訊是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種資訊,不包括匿名化處理後的資訊。也就是說,經過匿名化處理的資訊不屬於個人資訊範疇,不用遵循個人資訊保護法對於相關主體的若干義務要求。
那何為匿名化處理呢?是指個人資訊經過處理無法識別特定自然人且不能復原的過程。同屬無法識別特定自然人的處理過程,但匿名化要求高於去標識化。
實際使用中,匿名化對於資料查詢方尤為重要。資料來源頭廠商原本擁有客戶的明文資料,其遵循處理主體若干義務責無旁貸。但對於資料查詢方(或使用方)來說,其原本不擁有個人資訊,如果用明文方式查得,則也須遵守相關義務;但如果透過匿名化手段查得的資訊不屬於個人資訊,不需遵循相關義務,甚至不用履行告知義務和取得授權。因此匿名化手段是資訊傳輸時,減輕無資料一方義務責任的有效手段。
隱私計算是否屬於匿名化解決方案,尚無官方認可
隱私計算的技術目的和最大意義就是實現“資料的匿名化傳輸”,通俗來講就是“資料可用不可見”。就目前的技術安全性而言,隱私計算的技術路徑之一——多方安全計算中使用的一些加密演算法和協議的安全性已經得到理論學界和工業實踐的驗證,其他兩個技術路徑:聯邦學習和可信執行環境,尚未解決全部的惡意攻擊假設並確保絕對安全,並未經過大規模實踐檢驗。目前,官方和監管也並未給出隱私計算中哪一門技術符合匿名化要求的說法,隱私計算相關理論與實踐正處於行業實驗與論證的初級發展階段。
沒有絕對的安全,只有相對的安全
筆者始終認為:資訊保護領域,沒有絕對的安全,只有相對的安全。雖然當前的隱私計算技術並未被證明“絕對的安全”,但它已經在現有做法基礎上向前邁進了一大步。在個人資訊保護法倒逼資料安全的大環境下,隱私計算為個人資訊保護提供了更為可靠的技術方案,也是目前諸多方案中最好的解決方案。
當然,隱私計算技術同樣需要最佳化與進步,並與實際應用場景進行深度結合、創新,經過大量實際案例驗證其安全性。因此,我們不妨讓子彈飛一會。
隱私計算頂層設計快速推進
雖然官方並未給出明確結論,但無疑肯定了隱私計算技術的發展方向。
2021年5月24日,國家發改委、中央網信辦、工業和資訊化部 、國家能源局聯合印發《全國一體化大資料中心協同創新體系算力樞紐實施方案》,提出“試驗多方安全計算、區塊鏈、隱私計算 、資料沙箱等技術模式,構建資料可信流通環境,提高資料流通效率。”
中國人民銀行副行長範一飛在2021年10月《金融電子化》雜誌中刊文稱:要探索應用多方安全計算、聯邦學習等技術,在保障原始資料不出域前提下規範開展資料共享。建立資料全生命週期安全保護機制,運用匿蹤查詢、去標記化等措施,嚴防資料誤用、濫用,切實保障金融資料和個人隱私安全。
行業標準和團體標準正在被快速制定:阿里集團與多家國內隱私計算公司聯合IEEE-SA(國際電子電氣工程師協會)標準委員會頒佈了《IEEE關於安全多方計算的推薦實踐標準》;中國人民銀行也於2020年10月頒佈《多方安全計算金融應用技術規範》。據悉,中國資訊通訊研究院正在加快制定行業技術標準。
官方行業認證也已經出現:中國資訊通訊研究院已經實施了多期有關多方安全計算基礎能力、多方安全計算效能、聯邦學習基礎能力、聯邦學習效能、可信執行環境基礎能力、區塊鏈輔助隱私計算基礎能力等專項評測;國家金融科技測試中心(信用卡檢測中心)也通過了多家隱私計算廠商關於多方安全計算和聯邦學習的金融應用測評。
———————————————————————
高聲談:夜按暮西秋意涼,光撫霞柔瘦影長。湖勸風停映畫裡,三兩浮鴨擾靜床。我欲登頂高聲放,蕭河據水十餘丈,挽舟涉水始不棄,唯覓知音共擎蒼。
筆者個人公眾號:高聲談,Inter-FinanceCow
歡迎讀者多交流!
